Androidの標準ブラウザ利用者を標的としたフィッシングアプリの実現可能性とその対策 - virifi.net
ここ数日、「ポップアップ型フィッシング詐欺」が話題になっています。「ポップアップ型フィッシング詐欺」とはネットバンキングなどを閲覧中に認証情報やクレジットカード番号を入力させる偽のポップアップを表示させるタイプのフィッシング詐欺です。一般的な「偽サイト誘導型フィッシング詐欺」の場合は、アクセス先のドメイン名やSSL証明書の検証結果を確認すれば見破ることができたのですが、「ポップアップ型フィッシング詐欺」ではそれらは正規のサイトのものが表示されるので同様の方法では見破ることができません。PCにインストールされたマルウェアが原因であると報道されています。現状ではスマートフォンでの事例は報道されていません。この記事では、Androidの標準ブラウザ利用者を標的とした「アプリ切り替え型フィッシング詐欺」が実現できること、そしてその対策を示します。 この解説の趣旨 以下ではフィッシングアプリの具体的
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに
「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横
アイデンティティ管理技術解説:IPA 独立行政法人 情報処理推進機構
背景と目的 今日のアイデンティティ管理技術は、人々に付す識別子(ID)のみを扱う技術ではなく、多様な属性情報を管理するものとなっています。属性情報をオンラインで利用する際にも複数の目的があり、人々を本人であると認証すること、人々の属性情報を交換することの他、人々の属性情報に基づいてアクセスを制御すること等が挙げられます。そして、それぞれの目的に利用できる技術仕様が複数、策定されています。 このようにアイデンティティ管理技術は多種多様性を増しています。 しかし、アイデンティティ管理技術を全体観をもって解説する取り組みがなされてこなかったので、情報処理技術者が体系的に把握して学習することが容易ではない状況にあります。今日、多種のアイデンティティ管理技術の中から自らのシステム構築に適するものを選択したり、他者が採用しているアイデンティティ管理技術との間で相互運用可能性を確保することを検討したりす
株式会社シマンテックを告訴 / 2011年8月15日 アプリテック株式会社
2011 年 8 月 15 日、アプリテック株式会社は、株式会社シマンテック (東京都港区赤坂 1-11-44) を被告訴人とし、不正指令電磁的記録作成罪 (刑法168条の2第1項)、不正指令電磁的記録取得・保管罪 (刑法168条の3)、器物損壊罪 (刑法261条) を罪名とする告訴状を赤坂警察署長宛に送付しました。 アプリテック株式会社の担当者は、次のような談話を発表して、サイバー世界 (インターネットの世界) においても、警察・検察組織が市民からの信頼を獲得することを求めると述べました。 (談話の内容) 法の整備と警察の活躍 コンピュータウイルスの作成・保管・提供行為などを罪に問ういわゆる「ウイルス作成罪」が 2011 年 7 月から施行されたのは、喜ばしいことです。これまで、リアル世界 (非インターネットの世界) でその必要性、有効性が認められ、市民の信頼を獲得してきた警察・検察組織
混沌のセキュリティカンファレンス、CCCレポート(1/2) - @IT
技術から政治色の強いテーマまで 混沌のセキュリティカンファレンス、CCCレポート 三井物産セキュアディレクション株式会社 ビジネスデベロップメント部 主席研究員 草場 英仁 本間 久元 2012/6/8 ヨーロッパのハッカーグループ、Chaos Computer Clubの年次集会から始まったカンファレンスが「Chaos Computer Congress」です。技術的な話題はもちろん、個人情報に関するセッションからデモ行進まで、幅広いその内容を紹介します。(編集部) 年の瀬のベルリンで開かれるカンファレンス 気が付けば昨年末のことになってしまいましたが、ドイツはベルリンにて毎年開催されているヨーロッパ最大のハッカーのためのカンファレンス、「CCC」に参加してきました。今回の会期は2011年12月25日から12月30日まで。よりによってホリデーシーズン真っただ中の開催です。実はCCCは毎年
脆弱性市場とセキュリティの未来
江添亮 自由ソフトウェア主義者 C++ Evangelist C++標準化委員会の委員 ドワンゴ社員 C++11本を執筆した。 株式会社ドワンゴで働いている。 Mail:boostcpp@gmail.com Twitter:@EzoeRyou GitHub: https://github.com/EzoeRyou 江添亮のマストドン@EzoeRyou 筆者にブログのネタを提供するために、品物をアマゾンお気に入りリスト経由で送りたい場合: Amazon.co.jp: 江添亮: 江添のほしい物リスト 筆者にブログのネタを提供するために、直接に品物を送りたい場合、住所をメールで質問してください。 View my complete profile ► 2020 (31) ► December (2) ► November (2) ► September (2) ► August (4) ► Jul
手法が高度化する「標的型攻撃」、その実態と企業を守るための考え方を聞く
近年、企業の情報セキュリティ担当者を悩ませているテーマのひとつは「標的型攻撃への対応」である。2011年には、日本においても大手有名企業、政府関連が標的とされた事例が確認され、マスコミでも大きく報道されたことで一躍注目を集めるようになった。 一方で、標的型攻撃の存在について知ってはいるものの、実際の攻撃にはどのような手法が用いられ、どのような対策を立てるべきなのかについては、漠然としたイメージしか持っていない担当者も多いのではないだろうか。 今回、この標的型攻撃の実態と、その有効な対策方法について、情報セキュリティ分野で豊富な実績を持つシマンテックに話を聞いた。担当者は、同社が提供しているクラウド型セキュリティソリューション「シマンテック ドット クラウド」のテクニカルダイレクタを務める坂本真吾氏と、同じくシマンテック ドット クラウドのマーケティングマネジャーである三浦真樹子氏だ。 聞き
Google Safety Center - Stay Safer Online
search. email. watch. store. share. browse. message. ask. meet. search. search. email. watch. store. share. browse. message. ask. meet. search. search. search. email. email. watch. watch. store. store. share. share. browse. browse. message. message. ask. ask. meet. meet. search. search. search. email. watch. store. share. browse. message. ask. meet. search.
[2]標的型攻撃対策の本質は“入り口”にあり
標的型攻撃への対抗策として、最近は、ある程度のウイルス侵入を前提とした、いわゆる出口対策の有効性が主張されている。出口対策の有効性を否定するものではないが、ここでは出口対策はひとまず置き、標的型攻撃の端緒となる「なりすましメール」を防ぐ入り口対策と、さらには標的型攻撃の発信元にならないための対策という切り口で、安全なメール基盤、システムの実例を解説する。 第1回で指摘した通り、なりすまし対策に有効な技術は存在しないかというとそんなことはない。まずは、メール送信者を確認するための技術である「送信ドメイン認証」について、その概要と有効性を見てみよう。 なりすまし対策に有効な送信ドメイン認証 送信ドメイン認証とは、受信されたメールが確実にそのドメインのメールサーバーから発信されているということを受信メールサーバー側で検証するための技術だ。方式としては、メールヘッダに記された電子署名を利用する「D
![[2]標的型攻撃対策の本質は“入り口”にあり](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
SECCON 競技コンテスト開催!: SECCON実行委員へのインタビュー Part.1
みなさんこんにちは、SECCON実行委員のはせがわです。 実行委員のみんながどのような思いでSECCONを開催しているのかをインタビューしてみました。なぜSECCONというイベントを始めたのか、何を目指しているのがが少しでも伝わればといいな思います。 なお、インタビューはサイボウズLive上のオンラインで現在も継続して行われていますので、疑問や質問などを頂けると次回以降の記事でお答えできるかもしれません。お気軽にコメントを頂けると幸いです。 はせがわ そもそも、SECCON CTFをやろうって言いだしたのはどなたなんでしょう? 根津 私が聞いたのは園田さんの口からですね。 セキュリティ&プログラミングキャンプ2011(以下、キャンプ)のあとの反省会の流れで、 「なんかやりたいですね、自分達の手で。」 という話しがでてきました。 花田 博多でやったセプキャンキャラバン in 福岡(非公式)の
マシなインターネットを作る:malaさんインタビュー
こんにちは。今回はmalaさんのインタビューをお届けします。 malaさんはNHN Japanのエンジニアとして多くのウェブサービスの設計に関わるだけでなく、セキュリティやプライバシの観点から見たアーキテクチャについて、ブログでさまざまな情報や問題提起を発信されています。 特に昨年末に公開されたブログ記事「はてな使ったら負けかなと思っている2011」は、インターネットはどこへ行くかという私のもやっとした問題意識にピッタリとハマる素晴らしい文章でした。あの記事を読んで、これはぜひ一度お会いして、インターネットの現状やエンジニアの役割について、お話を聞いてみたい、と思ったのが今回の企画の発端です。未読の方は、まずそちらからどうぞ。 なお、インタビューは三月末に行われました。無職期間中に公開する予定で、ずいぶん時間がかかってしまいました。文中、私の所属する企業の話も出てきますが、例によってここは
標的型攻撃が拡大する誤った3つの思い込み - シマンテック発表
シマンテックは5月1日、「インターネットセキュリティ脅威レポート第17号」の調査結果を発表した。それによると、2011年は2010年と比べ、マルウェアの亜種の数が41%増加して4億300万種にのぼり、1日に遮断されるWeb攻撃の数は36パーセント増加し、4,597件に達したという。また、シマンテックでは、55億件以上の悪質な攻撃を遮断しており、この数字は前年比で81%増加しているという。 一方、スパムレベルは大幅に低下し、新たに検出した脆弱性は20パーセント減少している。これについて、シマンテック セキュリティレスポンス シニアレスポンスマネージャ 浜田謙治氏は、Rustockというボットネットが3月に閉鎖されたこと、クリックしない人が増えていることを挙げ、「もしかすると、SNSに移行している可能性もある」と述べた。 同氏によれば、マルウェアが継続的な増加傾向にある理由として、攻撃ツールキ
ソーシャルゲームの危険性 ~某プラットフォームの脆弱性に見る構造的問題~ - netpoyo広報ブログ
まずはこちらのURLをよーく見てほしいです。 某ソーシャルゲームのURL↓ http://sp.pf.example.com/12008305/?guid=ON&url=http%3A%2F%2F125.6.169.35%2Fxxxxxxxxxx%2Ftutorial%3Fa%3D287979669%26rnd%3D93975868 これはスマートフォン向けの某有名ソーシャルゲームサイトでゲームをプレイしている時のURLです。sp.pf.example.comがソーシャルゲームサイト(プラットフォーム)を表し、それ以下はプラットフォームに渡すパラメータになります。 プロの方ならこのURLを見て脆弱性に気づいたがあるのではないかと思ったのではないかと思います——え? よく分からない? うーむ。確かに、この記事を読まれる方には非エンジニアの方も多いかもしれません。この記事は、筆者が偶然出会った
高木浩光@自宅の日記 - ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか
■ ID番号が秘密なのか、それとも氏名・生年月日が秘密なのか SuicaやEdyの登場によって、カードに記載の番号が新たな問題をもたらすであろうことは、8年前に関心を持ち、何度か書いた。 Edyナンバーは易々と他人に知らせてよい番号なのか, 2004年2月29日の日記 Edyナンバーはどのように使われるものか, 2004年7月11日の日記 許諾なしに公表されるEdyナンバーとSuica番号, 2004年7月11日の日記 その後、EdyナンバーやSuicaのIDiは無闇に掲示されることはなくなり、問題は起きなかった。コンビニのam/pmがEdyを用いて独自に展開していた「club ap」でも、利用者登録にはam/pm店舗のレジで印刷してもらう「仮パスワード」を必要とするようになっており、まあ一応ちゃんと設計されていた。*1 ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PC
PC
【セキュリティ ニュース】総務省、「スマートフォン・クラウドセキュリティ研究会」最終報告案で意見募集(1ページ目 / 全1ページ):Security NEXT
徳丸本に載っていないWebアプリケーションセキュリティ
Wired Opinion: Cyberwar Is the New Yellowcake